Hallo,
in einer Praxis ist ein Windows Server im VLAN1, der TI Konrektor (RISE) im VLAN2 installiert, Router LANCOM 1906-VA4G LCOS 10.50 RU2, alles bestens.
Die TI Anwendung KIM ist z.Zt. so spezifiziert, dass KIM (SMPTS, POPS) Verbindungen aus dem gleichen Subnet wie der Konrektor initiiert werden müssen, ab Sommer 2022 ist dies nicht mehr erforderlich (wie ich heute erfahren habe).
Als Zieladresse muss die 100.102.8.6 über den Konnektor erreicht werden (d.h. gibt's einen IPV4 Routing Eintrag).
Wenn ich also eine FW Rule definiere, muss die VLAN2 Adresse des Routers als PBR-NAT einstellt werden, lt. Doku geht das aber nur mit einen WAN Adresse. Wenn ich das trotzdem mit einen VLAN2 LAN Adresse tue, passiert folgendes:
[Firewall] 2022/01/04 18:27:28,998
Packet matched rule ALLOW_NAT_KONNEKTOR_KIM
DstIP: 100.102.8.6, SrcIP: 172.21.0.88, Len: 52, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: TCP (6), DstPort: 465, SrcPort: 60425, Flags: S
Seq: 2746402858, Ack: 0, Win: 8192, Len: 0
Option: Maximum segment size = 1460
Option: NOP
Option: Window scale = 8 (multiply by 256)
Option: NOP
Option: NOP
Option: SACK permitted
block-route for 100.102.8.6@2, packet rejected
Funktioniert Source NAT auch mit LAN Adressen? Falls nein, muss ich dann halt doch ein zweites IF am Server definierten, genau das sollte ich nicht, sondern die LANCOM FW verwenden, LOG4J lässt grüßen ....
Danke
Henri
Telematik KIM - 2 Subnetze
Moderator: Lancom-Systems Moderatoren
Re: Telematik KIM - 2 Subnetze
Hi Henri
ein NAT zwischen LAN-Interfaces ist nicht möglich. für ein NAT wird ist immer ein WAN-Interface benötigt.
Und die Meldung mit der Block-Route kommt daher, daß deine Routing-Tabelle nicht stimmt: Das Paket ist im Routing-Kontext 2 (vermutlich weil das Netz, in dem der Server das Schnittstellen- bzw. Routing-Tag 2 hat) und es gibt keine Route zur 100.102.8.6 mit dem Routing-Tag 2... bzw. es gibt nur eine Sperr-Route (Next-Hop 0.0.0.0) zur der Adresse...
Gruß
Backslash
ein NAT zwischen LAN-Interfaces ist nicht möglich. für ein NAT wird ist immer ein WAN-Interface benötigt.
Und die Meldung mit der Block-Route kommt daher, daß deine Routing-Tabelle nicht stimmt: Das Paket ist im Routing-Kontext 2 (vermutlich weil das Netz, in dem der Server das Schnittstellen- bzw. Routing-Tag 2 hat) und es gibt keine Route zur 100.102.8.6 mit dem Routing-Tag 2... bzw. es gibt nur eine Sperr-Route (Next-Hop 0.0.0.0) zur der Adresse...
Gruß
Backslash
Re: Telematik KIM - 2 Subnetze
Hallo Backslash,
danke, das dachte ich mir schon, habe jetzt eine andere FW verwendet, die kann das.
Darf ich mir an dieser Stelle dieses Feature wüschen?
Neben dieses Problems, gibt's auch mit Bonjour/Zero Config IOT Gerätes das gleiche Problem,
das Gerät blockt alles Connections, die nicht aus dem gleichen Subnetz kommen, ein LAN-LAN NATting wäre sehr hilfreich.
Mit vielen Grüßen
Henri
danke, das dachte ich mir schon, habe jetzt eine andere FW verwendet, die kann das.
Darf ich mir an dieser Stelle dieses Feature wüschen?
Neben dieses Problems, gibt's auch mit Bonjour/Zero Config IOT Gerätes das gleiche Problem,
das Gerät blockt alles Connections, die nicht aus dem gleichen Subnetz kommen, ein LAN-LAN NATting wäre sehr hilfreich.
Mit vielen Grüßen
Henri